02-18-2020 08:29 AM - editado 02-18-2020 08:38 AM
Hola buen día.
Estoy implementando el servidor FreeRadius 3.0 en un switch cisco 2960 IOS. 15.0.
Al momento de entrar por ssh o por el cable de consola al switch, si puedo entrar con los usuarios que tengo en el servidor, pero no con los usuarios locales que están en el swtich.
¿A que se debe ese inconveniente?
Otra pregunta, por ssh al iniciar con un usuario privilegio 15 entro directo al modo exec, pero por el cable de consola con el mismo usuario entro al modo usuario. Igual intento entrar con otro usuario de privilegio menor y todos los toma como que son de privilegio 15.
¿A que se debe ese inconveniente?
En el switch tengo la siguiente configuración:
username root password 0 root
username root15 privilege 15 secret 5 $1$k1RC$ttKmxhASqkpLcx2AFbazr.
aaa new-model
aaa authentication login default group radius local
aaa authorization exec default group radius local if-authenticated
line con 0
login authentication default ----> [agregue este comando también pero no aparece en el sh run]
line vty 0 4
login authentication default ----> [agregue este comando también pero no aparece en el sh run]
transport input ssh
line vty 5 15
login authentication default ----> [agregue este comando también pero no aparece en el sh run]
transport input ssh
Gracias.
¡Resuelto! Ir a solución.
el 02-18-2020 01:18 PM
Hola @Int_19
Al momento de entrar por ssh o por el cable de consola al switch, si puedo entrar con los usuarios que tengo en el servidor, pero no con los usuarios locales que están en el swtich.
¿A que se debe ese inconveniente?
Los dispositivos guardan una base de datos con los usuarios y contraseñas configuradas.
Cuando en la linea de consola o en las lineas VTY ingresas el comando login local, le estas indicando al dispositivo que busque los parámetros de logueo en la BBDD local.
Cuando habilitas AAA e ingresas el comando aaa authentication login default group radius local le estas indicando al dispositivo que deje de buscar la BBDD local y busque, como prioridad, los paramentos de logueo en un servidor(RADIUS o TACACS), por lo que los parámetros locales dejan de tener validez hasta el momento de que no exista conectividad con el servidor configurado.
Otra pregunta, por ssh al iniciar con un usuario privilegio 15 entro directo al modo exec, pero por el cable de consola con el mismo usuario entro al modo usuario. Igual intento entrar con otro usuario de privilegio menor y todos los toma como que son de privilegio 15.
¿A que se debe ese inconveniente?
Hasta donde tengo entendido, la conexión por consola empieza por defecto en modo usuario.
Si deseas que solo los usuarios con privilegio 15 tengan acceso, puedes ingresar el comando privilege level 15 en la linea de consola. Creo que este comando hará que estos usuarios partan en el modo EXEC al conectarse por consola también.
Prueba y nos cuentas como te va.
Saludos
el 02-18-2020 10:43 AM
Hola @Int_19
Hasta dónde tengo entendido y he visto diferentes implementaciones, cuando invocas al servidor RADIUS es este el que realiza la autenticación y hace un override de los usuarios locales, es por ello que solo puedes entrar con los users que diste de alta en tu freeradius. Para hacer una autenticación local, entonces tendrías que retirar las lineas de configuración relacionadas con aaa.
Espero que la información haya sido útil y si no tienes más preguntas recuerda cerrar el topic, seleccionando la respuesta como "Respuesta correcta"
**Please rate the answer if this information was useful***
**Por favor si la información fue util marca esta respuesta como correcta**
*Tu reconocimiento nos alienta a seguir participando en los foros *
el 02-18-2020 01:18 PM
Hola @Int_19
Al momento de entrar por ssh o por el cable de consola al switch, si puedo entrar con los usuarios que tengo en el servidor, pero no con los usuarios locales que están en el swtich.
¿A que se debe ese inconveniente?
Los dispositivos guardan una base de datos con los usuarios y contraseñas configuradas.
Cuando en la linea de consola o en las lineas VTY ingresas el comando login local, le estas indicando al dispositivo que busque los parámetros de logueo en la BBDD local.
Cuando habilitas AAA e ingresas el comando aaa authentication login default group radius local le estas indicando al dispositivo que deje de buscar la BBDD local y busque, como prioridad, los paramentos de logueo en un servidor(RADIUS o TACACS), por lo que los parámetros locales dejan de tener validez hasta el momento de que no exista conectividad con el servidor configurado.
Otra pregunta, por ssh al iniciar con un usuario privilegio 15 entro directo al modo exec, pero por el cable de consola con el mismo usuario entro al modo usuario. Igual intento entrar con otro usuario de privilegio menor y todos los toma como que son de privilegio 15.
¿A que se debe ese inconveniente?
Hasta donde tengo entendido, la conexión por consola empieza por defecto en modo usuario.
Si deseas que solo los usuarios con privilegio 15 tengan acceso, puedes ingresar el comando privilege level 15 en la linea de consola. Creo que este comando hará que estos usuarios partan en el modo EXEC al conectarse por consola también.
Prueba y nos cuentas como te va.
Saludos
el 02-19-2020 03:33 AM
Buenos días estimado,
Respecto a tus dudas con lo siguiente:
line con 0
login authentication default ----> [agregue este comando también pero no aparece en el sh run]
line vty 0 4
login authentication default ----> [agregue este comando también pero no aparece en el sh run]
transport input ssh
line vty 5 15
login authentication default ----> [agregue este comando también pero no aparece en el sh run]
transport input ssh
No aparecen en el show run porque ese es el comportamiento por defecto y cuando en la consola escribes un comando que esta habilitado por defecto el mismo no se muestra en la configuración. Ese equipo va a utilizar la lista "default" que definiste con los comandos de AAA a menos que definas otro método de autenticación como local u otra lista que tenga otro nombre.
***Por favor no olvides calificar y/o marcar como solución las respuestas útiles, tu calificación promueve nuestra participación.***
Saludos,
Descubra y salve sus notas favoritas. Vuelva a encontrar las respuestas de los expertos, guías paso a paso, temas recientes y mucho más.
¿Es nuevo por aquí? Empiece con estos tips. Cómo usar la comunidad Guía para nuevos miembros
Navegue y encuentre contenido personalizado de la comunidad